JP4515513B2 - Messaging virus countermeasure program, etc. - Google Patents
Messaging virus countermeasure program, etc. Download PDFInfo
- Publication number
- JP4515513B2 JP4515513B2 JP2008129325A JP2008129325A JP4515513B2 JP 4515513 B2 JP4515513 B2 JP 4515513B2 JP 2008129325 A JP2008129325 A JP 2008129325A JP 2008129325 A JP2008129325 A JP 2008129325A JP 4515513 B2 JP4515513 B2 JP 4515513B2
- Authority
- JP
- Japan
- Prior art keywords
- virus
- transmitted
- messaging
- electronic information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、電子メールを主体とする電子情報の移動に伴って送信されるメッセージングウィルスに対して処置を施すためのメッセージングウィルス対処プログラム等に関する。 The present invention is related to messaging virus Action program for performing the treatment with respect to messaging viruses that are transmitted along with the movement of the electronic information mainly email.
近年、電子メール等の電子情報の移動に伴って送信されるウィルス(以下、メッセージングウィルスと称す)による感染が増大している。かかるメッセージングウィルスによる被害を抑えるために、電子メールのウィルス検査を行うシステムなどが従来より提案されている。この従来システムにおいては、一般に、電子メールが送信先に届く前に電子メールに添付されたファイルの中身を検査し、予め定義されたウィルスの特徴と一致した場合には、そのウィルスを削除するという処置が実行される(例えば下記特許文献1参照)。また、通常、ウィルスが検出された際には、当該電子メールの送信元に対してウィルスが検出された旨のメッセージを通知することが行われている。また、下記特許文献2では、感染したクライアントのメールアドレス帳に登録してあるメールアドレス宛に同型のウィルスを送信してしまうウィルスに対する対策等が提案されている。
前述した従来のシステムから送信される、ウィルスが検出された旨の通知メッセージは一般に一律の内容であり、送信相手に適した内容とすることが望まれている。 Is transmitted from a conventional system before mentioned, notification that a virus has been detected message is a general content of the uniform, it is desirable to content suitable for transmission partner.
本発明の目的は、メッセージングウィルスに対して処置を施すためのメッセージングウィルス対処プログラムであって、有効なメッセージングウィルス対処プログラム等を提供することである。 An object of the present invention is to provide a messaging virus countermeasure program for taking measures against a messaging virus, and an effective messaging virus countermeasure program.
上記の目的を達成するために、本発明の一つの側面は、所定のネットワークと他のネットワークとの間で配信される電子情報に伴って送信されるメッセージングウィルスに対する処置をコンピュータに実行させるメッセージングウィルス対処プログラムが、前記メッセージングウィルスを伴う電子情報を受信したときに、前記受信した電子情報が前記所定のネットワークから送信されたものであるか否かを判定する工程と、前記受信した電子情報が前記所定のネットワークから送信されたものであると判定した場合には、前記所定のネットワーク向けに予め備えられたメッセージを送信し、前記受信した電子情報が前記所定のネットワークから送信されたものでないと判定した場合には、前記他のネットワーク向けに予め備えられたメッセージを送信する工程とを前記コンピュータに実行させることである。これにより、メッセージの送信先に適した内容の通知をすることができるようになり、メッセージングウィルスの駆除、感染の防止に有効である。 In order to achieve the above object, one aspect of the present invention is a messaging that causes a computer to take action against a messaging virus transmitted with electronic information distributed between a given network and another network. When the virus countermeasure program receives electronic information accompanied by the messaging virus, the step of determining whether or not the received electronic information is transmitted from the predetermined network; and the received electronic information When it is determined that the message is transmitted from the predetermined network, a message prepared for the predetermined network is transmitted, and the received electronic information is not transmitted from the predetermined network. If it is determined, a message previously prepared for the other network is used. It is to execute a step of transmitting to said computer. As a result, it is possible to notify the contents suitable for the destination of the message, and it is effective in removing the messaging virus and preventing infection.
更に、上記の発明において、その好ましい態様は、前記所定のネットワークが、所定の企業内に備えられたネットワークであることを特徴とする。 Furthermore, in the above invention, a preferred aspect thereof is characterized in that the predetermined network is a network provided in a predetermined company.
本発明の更なる目的及び、特徴は、以下に説明する発明を実施するための最良の形態から明らかになる。 Further objects and features of the present invention will become apparent from the best mode for carrying out the invention described below.
図1は、本発明を適用したメッセージングウィルス対処システムの実施の形態例に係る構成図である。図1に示すメッセージングウィルス対処システム1が、本発明に係るメッセージングウィルス対処プログラムを用いたシステムであり、図1に示すように、企業内ネットワーク2と外部のネットワーク(インターネット3)間で配信される電子メール6等と共に送信される各種ウィルスに対して処置を施すシステムである。かかるメッセージングウィルス対処システム1は、新種ウィルスに対する警戒モードを有し、かつ、送信元詐称型ウィルスや不特定ファイル添付型ウィルスに対する特別な対策を有し、従来システムよりも有効でかつ安全なウィルス処置を行おうとするものである。
FIG. 1 is a configuration diagram according to an embodiment of a messaging virus countermeasure system to which the present invention is applied. A messaging virus countermeasure system 1 shown in FIG. 1 is a system using the messaging virus countermeasure program according to the present invention, and is distributed between the corporate network 2 and an external network (Internet 3) as shown in FIG. This is a system for treating various viruses transmitted together with the
図1の企業内ネットワーク2は、企業内に配設されているLAN(Local Area Network)等のネットワークであり、各社員などが使用するクライアント端末(4a、4b、…)が接続されている。クライアント端末(4a、4b、…)は、パーソナルコンピュータなどで構成され、電子メール6の送受信機能を備え、前記メッセージングウィルス対処システム1が処理対象とする電子メール6の送信元及び送信先となる。また、この企業内ネットワーク2及びクライアント端末(4a、4b、…)が、本メッセージングウィルス対処システム1の主な保護対象であり、本実施の形態例においては、企業におけるネットワークとクライアント端末としたが、企業以外の組織におけるネットワークとそれに接続されたクライアント端末としてもよい。また、使用されるメッセージング交換方式は、ファイル転送やWebからのデータダウンロード等、メール以外の手段であっても良い。
The corporate network 2 in FIG. 1 is a network such as a LAN (Local Area Network) arranged in the enterprise, and is connected to client terminals (4a, 4b,...) Used by each employee. The client terminals (4a, 4b,...) Are configured by a personal computer or the like, have a transmission / reception function for the
次に、図1のインターネット3は、前記企業内ネットワーク2と接続されていると共に複数のクライアント端末(5a、5b、…)とも接続されている。当該クライアント端末(5a、5b、…)もパーソナルコンピュータなどで構成され、電子メール6の送受信機能を備えており、前記企業内ネットワーク2のクライアント端末(4a、4b、…)と電子メール6の送受信を行う。なお、本実施の形態例においては、インターネット3としたが、企業内ネットワーク2と電子メール6の送受信を行う当該企業の外部のネットワークであれば、インターネットでなくてもよい。
Next, the Internet 3 in FIG. 1 is connected to the corporate network 2 and also to a plurality of client terminals (5a, 5b,...). The client terminals (5a, 5b,...) Are also configured by a personal computer or the like and have a function for transmitting / receiving
次に、メッセージングウィルス対処システム1は、前記企業内ネットワーク2とインターネット3の間に備えられるコンピュータシステムであり、前記クライアント端末(4a、4b、…)と前記クライアント端末(5a、5b、…)との間の電子メール6は、当該システムを介して送受信される。図1に示すように、メッセージングウィルス対処システム1は、ウィルス対処手段10と記憶手段20とを備えている。 Next, the messaging virus countermeasure system 1 is a computer system provided between the corporate network 2 and the Internet 3, and the client terminals (4a, 4b,...) And the client terminals (5a, 5b,...) The e-mail 6 is sent and received via the system. As shown in FIG. 1, the messaging virus handling system 1 includes virus handling means 10 and storage means 20.
ウィルス対処手段10は、企業内ネットワーク2とインターネット3間で配信される電子メール6を受信し、それに伴う各種ウィルスに関して所定の処理を実行する部分である。具体的な処理内容については後述するが、当該ウィルス対処手段10が本発明における主要な部分である。また、ウィルス対処手段10は、処理内容を指示するコンピュータプログラム、当該コンピュータプログラムを読込むメモリ、及び当該コンピュータプログラムに従って処理を実行する制御装置等によって構成される。
The virus handling means 10 is a part that receives an
記憶手段20は、図1に示すように、パターン定義ファイル21及び設定ファイル22を格納する部分であり、メッセージングウィルス対処システム1を構成するコンピュータシステムに備えられたハードディスク等で構成される。パターン定義ファイル21は、既知の各ウィルスについて、それらの特徴(パターン)を定義したファイルであり、前述したウィルス対処手段10がウィルス検出をする際の処理に用いられる。また、設定ファイル22は、各ウィルスに関してどのような処置を施すかを設定したファイルであり、前記ウィルス対処手段10が電子メール6を受信した際にウィルス対処手段10のメモリに読込まれる。ウィルス対処手段10は、この設定ファイル22に記載された内容に基づいて処理を実行する。なお、この設定ファイル22の記載を変更することにより、ウィルス対処手段10のプログラムを変更することなくウィルス対処手段10における各ウィルスに対する処理を変更することができる。したがって、本メッセージングウィルス対処システム1は、いわゆるカスタマイズが容易なシステムであると言える。
As shown in FIG. 1, the
図2は、本実施の形態例に係るメッセージングウィルス対処システム1のウィルス対処手段10が行う処理を例示したフローチャートである。以下、図2に基づいて、メッセージングウィルス対処システム1で行われる処理の内容について説明する。まず、ウィルス対処手段10は、企業内ネットワーク2からインターネット3へ、あるいはインターネット3から企業内ネットワーク2へ送信される電子メール6を、当該電子メール6が送信先に届く前に受信する(図2のステップS1)。この電子メール6の送信元及び送信先は、企業内のクライアント端末(4a、4b、…)、企業外のクライアント端末(5a、5b、…)、あるいは企業内ネットワーク2やインターネット3に接続されたサーバシステム(図示せず)等である。
FIG. 2 is a flowchart illustrating the process performed by the
次に、ウィルス対処手段10は、前述した設定ファイル22を記憶手段20からメモリに読込む(図2のステップS2)。その後、ウィルス対処手段10は、前記受信した電子メール6に関する情報を取得し、その情報をメモリに一時的に保持する(図2のステップS3)。この取得して保持する情報は、電子メール6のヘッダーに含まれる情報、メール本文に関する情報、及び添付ファイルに関する情報である。具体的には、電子メール6の送信元、添付ファイルの有無、メール本文中におけるHTML(Hypertext Markup Language)、Java Script(Javaは米国サンマイクロシステムズ社の登録商標、以下同じ)などの処理手順を記述したスクリプトコード、テキストにエンコードされたプログラムの実行ファイルなどのバイナリデータの有無に関する情報等である。
Next, the
次に、ウィルス対処手段10は、新種ウィルス警戒モードであるか否かの判断を行う(図2のステップS4)。新種ウィルス警戒モードとは、前述したパターン定義ファイル21に定義されていない新種のウィルスが現れた場合にそのウィルスを警戒するモードであり、新種ウィルス警戒モードにするか否かは、本メッセージングウィルス対処システム1の管理者等によって決定され、その結果がメッセージングウィルス対処システム1に入力されている。この入力された情報に基づいて、ウィルス対処手段10は、前記新種ウィルス警戒モードであるか否かの判断を行う。
Next, the
新種ウィルス警戒モードにする旨の情報が入力されており、ウィルス対処手段10が、新種ウィルス警戒モードであると判断した場合には(図2のステップS4のYes)、当該受信した電子メール6により送信先でウィルスに感染する恐れがあるかないかを判断する(図2のステップS5)。具体的には、前記読込んだ設定ファイル22の記述に従い、下記条件に基づいて判断する。
(1)受信した電子メール6に添付ファイルがある。
(2)受信した電子メール6の本文中(テキストデータ中)にHTMLのコードがある。
(3)受信した電子メール6の本文中(テキストデータ中)にスクリプトコードがある。
(4)受信した電子メール6の本文中(テキストデータ中)にテキスト化されたプログラムのバイナリデータ等がある。
When information indicating that the new virus warning mode is set is input and the
(1) The received
(2) There is an HTML code in the body (in the text data) of the received
(3) There is a script code in the body (in the text data) of the received
(4) There is binary data of the program converted into text in the body (in the text data) of the received
より具体的には、一例として、上記(1)〜(4)の条件のいずれか一つの条件でも満たせば、前記ウィルス感染の恐れがあると判断する。これは、最も警戒のレベルが高い状態であり、新種のウィルスについてあまり情報がない場合等に採用される。なお、通常、ウィルスは、添付ファイルやメール本文中のHTMLコード等を用いて配信されるので、上記のような条件を設定している。 More specifically, as an example, if any one of the above conditions (1) to (4) is satisfied, it is determined that there is a risk of the virus infection. This is employed when the level of vigilance is the highest and there is not much information about new viruses. Normally, viruses are distributed using attached files, HTML codes in the mail text, etc., so the above conditions are set.
また、上記(1)〜(4)の条件の全てを用いずに、いずれか一つ以上の条件のみを用いるようにしても良い。例えば、(1)の条件のみを用いて、添付ファイルがあれば、前記ウィルス感染の恐れがあると判断し、添付ファイルがなければ前記ウィルス感染の恐れがないと判断するというようにしてもよい。これは、新種のウィルスが添付ファイルで配信されることがわかっている場合等に、採用される。このように、新種ウィルスについて、ある程度情報を得ている場合には、それに則した条件を設定することが好ましい。なお、この判断のための条件設定は、前記設定ファイル22により行うことができる。
Moreover, you may make it use only one or more conditions, without using all the conditions of said (1)-(4). For example, using only the condition (1), if there is an attached file, it may be determined that there is a risk of the virus infection, and if there is no attached file, it may be determined that there is no risk of the virus infection. . This is adopted when it is known that a new type of virus is distributed as an attached file. As described above, when new information is obtained to some extent, it is preferable to set conditions according to the information. The condition setting for this determination can be performed by the setting
なお、前記(2)〜(4)の条件は、メール本文中(テキストデータ中)にいわゆるプログラムのようなもの、換言すれば、コンピュータにある所定の動作を実行させるような情報、が含まれていないかどうかを判定するものであるが、これらは一例であって、当該プログラムのようなものが含まれていないかどうかの判定のために、他の条件を設定しても構わない。 The conditions (2) to (4) include what is called a program in the mail body (in the text data), in other words, information that causes a computer to execute a predetermined operation. However, these are merely examples, and other conditions may be set to determine whether or not such a program is included.
また、以上説明したウィルス感染の判定においては、前述した図2のステップS3で取得し保持した情報が用いられる。なお、受信した電子メール6の本文中(テキストデータ中)にHTMLのコード、スクリプトコード、及びテキスト化されたプログラムのバイナリデータがあるか無いかの判断は、例えば、それぞれ、HTMLのタグのようなものが含まれていないか、プログラム言語のようなものが含まれていないか、文章として体をなしていない文字が含まれていないかという観点から行われる。
Further, in the determination of virus infection described above, the information acquired and held in step S3 of FIG. 2 described above is used. The determination of whether or not there is HTML code, script code, and binary data of the textized program in the body (text data) of the received
以上説明したウィルス感染の恐れの判定により、ウィルス感染の恐れがないと判定した場合には(図2のステップS5のNo)、ウィルス対処手段10は、当該電子メール6を送信先に向けて送信する(図2のステップS6)。一方、ウィルス感染の恐れがあると判定した場合には(図2のステップS5のYes)、当該電子メール6を送信せずに、一時的にメッセージングウィルス対処システム1内に保管する(図2のステップS7)。例えば、前記記憶手段20内に格納しておく。そして、警戒している新種ウィルスについて、その特徴が把握されて前記パターン定義ファイル21にその内容が定義(設定)された後に、保管しておいた当該電子メール6を取り出し、後述する図2のステップS8からの処理を実行する。即ち、ウィルス駆除等の処理を実行する。
When it is determined that there is no risk of virus infection as a result of the above-described determination of the risk of virus infection (No in step S5 in FIG. 2), the
このように、本メッセージングウィルス対処システム1では、未だ特徴が知られていない新種のウィルスが現れた際の警戒モードを有し、明らかにウィルス感染の恐れの無い電子メール6のみを通過させる。この点が本メッセージングウィルス対処システム1の一つの大きな特徴であり、新種ウィルスが出現した際に、安全を確保しつつ、メール配信ができない影響を小さく抑えることができる。また、新種ウィルスについてある程度の情報が得られている場合には、更に通過させる電子メール6を増やすことができ、前記効果が増大する。
As described above, the messaging virus handling system 1 has a warning mode when a new type of virus whose characteristics are not yet known appears, and passes only the
一方、図2に戻って、前記新種ウィルス警戒モードにする旨の情報が入力されておらず、ウィルス対処手段10が、新種ウィルス警戒モードでないと判断した場合には(図2のステップS4のNo)、当該電子メール6についてウィルス検出処理を実施する(図2のステップS8)。かかる処理では、具体的には、電子メール6の添付ファイル及び本文の特徴を、前述したパターン定義ファイル21に定義されている各ウィルスの特徴(パターン)と比較し、該当するのもがあるか否かを判定する。
On the other hand, returning to FIG. 2, if the information to enter the new virus warning mode has not been input and the virus handling means 10 determines that it is not in the new virus warning mode (No in step S4 in FIG. 2). ) Virus detection processing is performed on the electronic mail 6 (step S8 in FIG. 2). Specifically, in this processing, the attachment file and body characteristics of the
この判定の結果、受信した電子メール6の特徴がパターン定義ファイル21に定義されている全てのウィルスの特徴と一致しない、あるいは類似しない場合には、ウィルス対処手段10は、ウィルスが検出されないと判断し(図2のステップS9のNo)、当該電子メール6を送信先に向けて送信する(図2のステップS12)。一方、受信した電子メール6の特徴がパターン定義ファイル21に定義されているいずれかのウィルスの特徴と一致する、あるいは類似する場合には、ウィルス対処手段10は、ウィルスが検出されたと判断し(図2のステップS9のYes)、ウィルス削除処理を実施する(図2のステップS10)。この処理において、ウィルス対処手段10は、当該電子メール6のウィルス部分を削除してウィルスの駆除を行う。例えば、ウィルスが電子メール6の添付ファイルである場合には、当該添付ファイルを除去する。
As a result of this determination, if the characteristics of the received
その後、ウィルス対処手段10は、当該ウィルスが検出された電子メール6に対して、当該電子メール6の諸元に基づいた処置を行う(図2のステップS11)。当該ステップが、本メッセージングウィルス対処システム1の特徴の一つであり、前述した設定ファイル22の設定に基づき、受信した各電子メール6及びウィルスに適したそれぞれの処置が実行される。当該ステップにおける具体的な処理内容については後述するが、従来システムには無い当該処理により、各ウィルスに適したより有効なウィルス対策を取ることができ、前述した課題を解決することができる。
Thereafter, the
上記処理終了後、ウィルス対処手段10は、当該電子メール6を送信先に向けて送信して処理を終了する(図2のステップS12)。但し、前記図2のステップS11の処理内容によっては、当該電子メール6の送信を行わない場合もある。
After the above process is completed, the
次に、前述した電子メール6の諸元に基づいた処置(図2のステップS11)の具体的な内容について説明する。図3は、当該処理の一態様(第一の態様)を示したフローチャートである。この例は、受信した電子メール6で検出されたウィルスが、送信元メールアドレスを詐称する送信元詐称型ウィルスであった場合のものである。
Next, the specific content of the treatment (step S11 in FIG. 2) based on the specifications of the
ウィルス対処手段10は、前記ウィルス削除処理(ステップS10)後、検出されたウィルスが送信元詐称型ウィルスであるか否かを判定する(図3のステップS21)。かかる判定は、前述したウィルス検出処理(図2のステップS8)において、パターン定義ファイル21と照合しウィルスを検出した時点でそのウィルスの種類が把握されるので、その把握されたウィルスの種類に基づいて行われる。
After the virus deleting process (step S10), the
その結果、検出されたウィルスが送信元詐称型ウィルスである場合には(図3のステップS21のYes)、ウィルスが検出された旨を伝えるウィルス検出通知メッセージを送信せずに、処理後の電子メール6を送信先に向けて送信する(ステップS12)。一方、検出されたウィルスが送信元詐称型ウィルスでない場合には(図3のステップS21のNo)、前記ウィルス検出通知メッセージを感染者に送信する(図3のステップS22)。この場合、通常は、当該通知メッセージを送信元に対して送信する。その後、処理後の電子メール6を送信先に向けて送信する(ステップS12)。
As a result, if the detected virus is a transmission source spoofed virus (Yes in step S21 in FIG. 3), the processed electronic data is not transmitted without transmitting the virus detection notification message indicating that the virus has been detected. The
図4は、本態様における電子メール6の諸元に基づいた処置(ステップS11)についての、設定ファイル22の記述例である。図中の“W32.KKK.H@mm”は、送信元詐称型ウィルスの一例であり、図4の2行目の記述は、“W32.KKK.H@mm”が検出された場合には、ウィルス検出通知メッセージを送信しないことを意味している。ウィルス対処手段10は、メモリに読込んである設定ファイル22の当該部分を参照して、前述した図3のステップS21及びS22の処理を実行する。
FIG. 4 is a description example of the setting
以上説明したように、本態様では、検出されたウィルスが送信元詐称型ウィルスである場合には、ウィルス検出通知メッセージを送信しない。したがって、実際には当該ウィルスを送信していない送信元に対してウィルス検出通知メッセージを送ってしまい、相手に迷惑をかけてしまうことを防ぐことができる。また、無駄なメッセージの送信を省くこともできる。一方、送信元詐称型ウィルスではない場合には、感染者に対してウィルス検出通知メッセージが送信されるが、これは、当該ウィルスの駆除及び更なる感染の防止という点で有効である。 As described above, in this aspect, when the detected virus is a transmission source spoofing virus, the virus detection notification message is not transmitted. Therefore, it is possible to prevent the virus detection notification message from being transmitted to the transmission source that has not actually transmitted the virus and causing trouble to the other party. In addition, useless message transmission can be omitted. On the other hand, when it is not a sender spoof-type virus, a virus detection notification message is transmitted to the infected person, which is effective in removing the virus and preventing further infection.
次に、図5は、電子メール6の諸元に基づいた処置(図2のステップS11)の第二の態様を示したフローチャートである。この例も、検出されたウィルスが、送信元詐称型ウィルスであった場合のものである。 Next, FIG. 5 is a flowchart showing a second mode of the treatment based on the specifications of the electronic mail 6 (step S11 in FIG. 2). This example is also a case where the detected virus is a transmission source spoofing virus.
ウィルス対処手段10は、前記ウィルス削除処理(ステップS10)後、前述した第一の態様の場合と同様に、検出されたウィルスが送信元詐称型ウィルスであるか否かを判定する(図5のステップS31)。その結果、検出されたウィルスが送信元詐称型ウィルスでない場合には(図5のステップS31のNo)、第一の態様の場合と同様に、ウィルス検出通知メッセージを感染者に送信する(図5のステップS32)。そして、処理後の電子メール6を送信先に向けて送信する(ステップS12)。
After the virus deletion process (step S10), the
一方、検出されたウィルスが送信元詐称型ウィルスである場合には(図5のステップS31のYes)、受信した電子メール6が、企業内ドメインからのものであるか否かを判定する(図5のステップS33)。即ち、企業内ネットワーク2からの電子メール6であるか否かを判定する。かかる判定は、受信した電子メール6の送信元メールアドレスのドメインが、本メッセージングウィルス対処システム1が保護対象としている企業の企業内ドメインであるか否かをチェックすることによって行う。
On the other hand, when the detected virus is a transmission source spoofing virus (Yes in step S31 in FIG. 5), it is determined whether or not the received
判定の結果、送信元メールアドレスのドメインが企業内ドメインである場合には(図5のステップS33のYes)、ウィルス検出通知メッセージを送信する(図5のステップS32)。かかるメッセージの送信は、当該電子メール6の送信元に対して行っても良いし、企業内ネットワーク2に接続された全てのクライアント端末(4a、4b、…)など予め定めた複数の箇所に行うようにしても良い。メッセージの送信後は、同様に、処理後の電子メール6を送信先に向けて送信する(ステップS12)。
As a result of the determination, if the domain of the source mail address is an in-house domain (Yes in step S33 in FIG. 5), a virus detection notification message is transmitted (step S32 in FIG. 5). Such a message may be transmitted to the transmission source of the
一方、判定の結果、送信元メールアドレスのドメインが企業内ドメインでない場合には(図5のステップS33のNo)、ウィルス検出通知メッセージを送信せずに、処理後の電子メール6を送信先に向けて送信する(ステップS12)。
On the other hand, as a result of the determination, if the domain of the transmission source mail address is not an in-company domain (No in step S33 in FIG. 5), the processed
図6は、第二の態様における電子メール6の諸元に基づいた処置(ステップS11)についての、設定ファイル22の記述例である。図中の“W32.KKK.H@mm”は、図4と同様に送信元詐称型ウィルスの一例を示しており、“abc.com”は、企業名abcの企業内ドメインを示している。また、“msg.KKK.H.abc”は、企業内に対して送信する“W32.KKK.H@mm”についてのウィルス検出通知メッセージを格納したファイル名である。
FIG. 6 is a description example of the setting
図6の3行目の記述は、“W32.KKK.H@mm”が検出され、送信元メールアドレスのドメインが“abc.com”以外の場合には、ウィルス検出通知メッセージを送信しないことを意味している。また、図6の4行目の記述は、“W32.KKK.H@mm”が検出され、送信元メールアドレスのドメインが“abc.com”である場合には、“msg.KKK.H.abc”に格納されているメッセージを送信するということを意味している。ウィルス対処手段10は、設定ファイル22の当該部分を参照して、前述した図5のステップS31〜S33までの処理を実行する。
The description on the third line in FIG. 6 indicates that the virus detection notification message is not transmitted when “W32.KKK.H@mm” is detected and the domain of the source mail address is other than “abc.com”. I mean. Further, in the description on the fourth line in FIG. 6, when “W32.KKK.H@mm” is detected and the domain of the source mail address is “abc.com”, “msg.KKK.H. This means that the message stored in “abc” is transmitted. The
以上説明したように、本態様では、検出されたウィルスが送信元詐称型ウィルスである時に、電子メール6が企業内からのものである場合には、ウィルス検出通知メッセージを送信し、電子メール6が企業内からのものではない場合には、ウィルス検出通知メッセージを送信しない。したがって、企業外に対しては、実際に当該ウィルスを送信していない送信元に対してウィルス検出通知メッセージを送ってしまい、相手に迷惑をかけてしまうことを防ぐことができる。また、企業内に対しては、本メッセージングウィルス対処システム1における処理を理解した社員等に対してウィルス検出通知メッセージが送られるので、メッセージの送信先に対して迷惑をかけることも少なく、逆に、企業内に送信元詐称型ウィルスが存在することを告知することができる。さらに、送信するメッセージを、当該企業内向けの当該ウィルスに関するものにすることにより、当該ウィルスに対する防御策や駆除方法を早期に知らせることができ、企業内ネットワーク2における安全を確保することができる。
As described above, in this aspect, when the detected virus is a transmission source spoofing virus, if the
次に、図7は、電子メール6の諸元に基づいた処置(図2のステップS11)の第三の態様を示したフローチャートである。この例は、検出されたウィルスが、ウィルスと共にコンピュータ内の任意のファイルを1個以上添付して電子メールを送信する不特定ファイル添付型ウィルスであった場合のものである。 Next, FIG. 7 is a flowchart showing a third mode of the treatment based on the specifications of the electronic mail 6 (step S11 in FIG. 2). In this example, the detected virus is an unspecified file attachment type virus in which one or more arbitrary files in the computer are attached together with the virus and an electronic mail is transmitted.
ウィルス対処手段10は、前記ウィルス削除処理(ステップS10)後、感染者に対してウィルスが検出された旨を伝えるウィルス検出通知メッセージを送信する(図7のステップS41)。その後、検出されたウィルスが不特定ファイル添付型ウィルスであるか否かを判定する(図7のステップS42)。かかる判定は、前述したウィルス検出処理(図2のステップS8)に把握されたウィルスの種類に基づいて行われる。
After the virus deletion process (step S10), the
当該判定の結果、検出されたウィルスが不特定ファイル添付型ウィルスである場合には(図7のステップS42のYes)、受信した電子メール6が、企業内ドメインからのものであるか否かを判定する(図7のステップS43)。当該判定は、前述した第二の態様の場合と同様である。その結果、受信した電子メール6が、企業内ドメインからのものである場合には(図7のステップS43のYes)、当該受信した電子メール6を破棄し(図7のステップS44)、電子メール6の送信を行わずに処理を終了する。
As a result of the determination, if the detected virus is an unspecified file attachment type virus (Yes in step S42 in FIG. 7), it is determined whether or not the received
一方、電子メール6が、企業内ドメインからのものではない場合には(図7のステップS43のNo)、当該電子メール6を送信先に向けて送信する(ステップS12)。また、図7のステップS42において、検出されたウィルスが不特定ファイル添付型ウィルスでないと判定された場合には(図7のステップS42のNo)、当該電子メール6を送信先に向けて送信する(ステップS12)。
On the other hand, if the
図8は、第三の態様における電子メール6の諸元に基づいた処置(ステップS11)についての、設定ファイル22の記述例である。図中の“W32.SSS.Worm@mm”は、不特定ファイル添付型ウィルスの一例であり、また、“abc.com”は、企業名abcの企業内ドメインを示している。図8の3行目の記述は、“W32.SSS.Worm@mm”が検出され、送信元メールアドレスのドメインが“abc.com”である場合には、メールを破棄するということを意味している。ウィルス対処手段10は、メモリに読込んである設定ファイル22の当該部分を参照して、前述した図7のステップS42〜S44の処理を実行する。
FIG. 8 is a description example of the setting
以上説明したように、本態様では、検出されたウィルスが不特定ファイル添付型ウィルスである時に、電子メール6が企業内からのものである場合には、電子メール6を破棄し、電子メール6が企業内からのものではない場合には、電子メール6を送信する。したがって、企業内のクライアント端末(4a、4b、…)が不特定ファイル添付型ウィルスに感染しており、当該クライアント端末から発信された電子メール6に意図していない当該クライアント端末内の任意のファイルが添付されてしまっても、本メッセージングウィルス対処システム1において、その添付されたファイルを含めて電子メール6が破棄されるので、企業内からの情報の漏洩を防止することができる。
As described above, in this aspect, when the detected virus is an unspecified file attachment type virus, if the
なお、図7に基づく前記の例では、検出されたウィルスが不特定ファイル添付型ウィルスであった場合でも企業内からの電子メール6でなければ、電子メール6を通過させたが、検出されたウィルスが不特定ファイル添付型ウィルスであった場合には電子メール6の送信元に関わらず、その電子メール6を破棄するようにしても良い。即ち、図7のフローチャートにおいて、ステップS42のYesの場合には、ステップS43を経ることなくステップS44に移行するようにしてもよい。この場合には、本メッセージングウィルス対処システム1を経由して電子メール6配信を行う各ネットワークからの情報漏洩を防止することができる。
In the above example based on FIG. 7, even if the detected virus is an unspecified file attachment type virus, if it is not the
次に、図9は、電子メール6の諸元に基づいた処置(図2のステップS11)の第四の態様を示したフローチャートである。この例は、ウィルスが検出された際のウィルス検出通知メッセージの内容を、送信先によって変えようとするものである。 Next, FIG. 9 is a flowchart showing a fourth mode of the treatment based on the specifications of the electronic mail 6 (step S11 in FIG. 2). In this example, the content of the virus detection notification message when a virus is detected is to be changed depending on the transmission destination.
ウィルス対処手段10は、前記ウィルス削除処理(ステップS10)後、受信した電子メール6が、企業内ドメインからのものであるか否かを判定する(図9のステップS51)。当該判定は、前述した第二の態様の場合と同様である。その結果、受信した電子メール6が、企業内ドメインからのものである場合には(図9のステップS51のYes)、感染者に企業内感染者向けのウィルス検出通知メッセージを送信する(図9のステップS52)。一方、受信した電子メール6が、企業内ドメインからのものではない場合には(図9のステップS51のNo)、感染者に企業外感染者向けのウィルス検出通知メッセージを送信する(図9のステップS53)。そして、どちらの場合にも、その後電子メール6の送信を行う(ステップS12)。
After the virus deleting process (step S10), the
図10は、第四の態様における電子メール6の諸元に基づいた処置(ステップS11)についての、設定ファイル22の記述例である。図中の“abc.com”は、企業名abcの企業内ドメインを示している。また、“msg.abc”は、企業内感染者向けのウィルス検出通知メッセージを格納したファイルであり、“msg.notabc”は、企業外感染者向けのウィルス検出通知メッセージを格納したファイルである。図10の2行目の記述は、ウィルスが検出され、送信元メールアドレスのドメインが“abc.com”である場合には、“msg.abc”に格納されているメッセージを送信することを意味している。同様に、図10の3行目の記述は、ウィルスが検出され、送信元メールアドレスのドメインが“abc.com”以外の場合には、“msg.notabc”に格納されているメッセージを送信することを意味している。ウィルス対処手段10は、メモリに読込んである設定ファイル22の当該部分を参照して、前述した図9のステップS51〜S53の処理を実行する。
FIG. 10 is a description example of the setting
以上説明したように、本態様では、ウィルスが検出された時に、電子メール6が企業内からのものである場合には、企業内向けのメッセージを送信し、一方、電子メール6が企業内からのものではない場合には、企業外向けのメッセージを送信する。これにより、従来のように一律なメッセージを送信する場合に比べて、メッセージの送信先に合わせた適切な情報提供ができるようになり、メッセージングウィルスに対する安全性をより向上させることができる。
As described above, in this aspect, when a virus is detected, if the
以上、電子メール6の諸元に基づいた処置(ステップS11)について複数の態様例を説明したが、本メッセージングウィルス対処システム1は、これらのうちの一つの態様における処理のみを行うように設定されても良いが、通常は、これらの態様で示した複数の処理を実行できるように設定されており、受信した電子メール6の諸元に基づいて、それらの処理の中から適切なものを選択して実行する。なお、これら複数の処理の中で、双方が成立し得ないものについては、例えば、第一の態様における処理と第二の態様における処理は、いずれの処理を採用するかが設定されている必要がある。
As mentioned above, although the some example was demonstrated about the treatment (step S11) based on the item of the
以上説明したように本実施の形態例に係るメッセージングウィルス対処システム1では、新種ウィルス、送信元詐称型ウィルス、及び不特定ファイル添付型ウィルス等に対して従来システムよりも有効な対策を施すことができる。なお、本実施の形態例においては、電子メール6の配信に伴ういわゆるメールウィルスについて述べたが、本メッセージングウィルス対処システム1が処理対象とするウィルスは、メールウィルスに限らず、ネットワークを介したファイルの転送と共に送信されるウィルスなど、電子情報の移動に伴って送信されるメッセージングウィルス全般である。
As described above, in the messaging virus countermeasure system 1 according to the present embodiment, it is possible to take more effective countermeasures than the conventional system against new viruses, sender spoofed viruses, unspecified file attached viruses, and the like. it can. In the present embodiment, the so-called mail virus associated with the delivery of the
本発明の保護範囲は、上記の実施の形態に限定されず、請求の範囲に記載された発明とその均等物に及ぶものである。 The protection scope of the present invention is not limited to the above-described embodiments, but covers the invention described in the claims and equivalents thereof.
本発明は、電子メールを主体とする電子情報の移動に伴って送信されるメッセージングウィルスに対して処置を施すために利用することができる。特に、新種のメッセージングウィルスが現れた際にメール配信を全て中断する必要がなく、メール中断による影響を小さく抑えることができる。また、送信元詐称型ウィルスを受信した際には、無駄でかつ迷惑な通知メッセージを省くことができる。更に、不特定ファイル添付型ウィルスを受信した場合には、情報漏洩を防止することができる。 The present invention can be used to take a measure against a messaging virus transmitted along with movement of electronic information, mainly electronic mail. In particular, it is not necessary to interrupt all mail distribution when a new type of messaging virus appears, and the influence of the mail interruption can be reduced. In addition, when a sender spoofed virus is received, useless and annoying notification messages can be omitted. Further, when an unspecified file attachment type virus is received, information leakage can be prevented.
1 メッセージングウィルス対処システム、 2 企業内ネットワーク、 3 インターネット、 4a、4b クライアント端末、 5a、5b クライアント端末、 6 電子メール、 10 ウィルス対処手段、 20 記憶手段、 21 パターン定義ファイル、 22 設定ファイル DESCRIPTION OF SYMBOLS 1 Messaging virus countermeasure system, 2 Corporate network, 3 Internet, 4a, 4b Client terminal, 5a, 5b Client terminal, 6 E-mail, 10 Virus countermeasure means, 20 Storage means, 21 Pattern definition file, 22 Setting file
Claims (3)
前記メッセージングウィルスを伴う電子情報を受信したときに、前記受信した電子情報が前記所定のネットワークから送信されたものであるか否かを判定する工程と、
前記受信した電子情報が前記所定のネットワークから送信されたものであると判定した場合には、前記所定のネットワーク向けに予め備えられたメッセージを送信し、前記受信した電子情報が前記所定のネットワークから送信されたものでないと判定した場合には、前記他のネットワーク向けに予め備えられたメッセージを送信する工程とを前記コンピュータに実行させる
ことを特徴とするメッセージングウィルス対処プログラム。 A messaging virus countermeasure program for causing a computer to take action against a messaging virus transmitted with electronic information distributed between a predetermined network and another network,
Determining whether or not the received electronic information is transmitted from the predetermined network when receiving the electronic information accompanied by the messaging virus;
When it is determined that the received electronic information is transmitted from the predetermined network, a message prepared in advance for the predetermined network is transmitted, and the received electronic information is transmitted from the predetermined network. A messaging virus countermeasure program characterized by causing the computer to execute a step of transmitting a message prepared in advance for the other network when it is determined that the message has not been transmitted.
前記メッセージングウィルスを伴う電子情報を受信したときに、前記受信した電子情報が前記所定のネットワークから送信されたものであるか否かを判定し、
前記受信した電子情報が前記所定のネットワークから送信されたものであると判定した場合には、前記所定のネットワーク向けに予め備えられたメッセージを送信し、前記受信した電子情報が前記所定のネットワークから送信されたものでないと判定した場合には、前記他のネットワーク向けに予め備えられたメッセージを送信する
ことを特徴とするメッセージングウィルス対処システム。 A messaging anti-virus system for performing an action against a messaging virus transmitted along with electronic information distributed between a predetermined network and another network,
Determining whether the received electronic information is transmitted from the predetermined network when receiving the electronic information accompanied by the messaging virus;
When it is determined that the received electronic information is transmitted from the predetermined network, a message prepared in advance for the predetermined network is transmitted, and the received electronic information is transmitted from the predetermined network. If it is determined that the message has not been transmitted, a message prepared in advance for the other network is transmitted.
前記コンピュータシステムが、前記メッセージングウィルスを伴う電子情報を受信したときに、前記受信した電子情報が前記所定のネットワークから送信されたものであるか否かを判定する工程と、
前記コンピュータシステムが、前記受信した電子情報が前記所定のネットワークから送信されたものであると判定した場合には、前記所定のネットワーク向けに予め備えられたメッセージを送信し、前記受信した電子情報が前記所定のネットワークから送信されたものでないと判定した場合には、前記他のネットワーク向けに予め備えられたメッセージを送信する工程とを有する
ことを特徴とするメッセージングウィルス対処方法。 A messaging virus countermeasure method in a computer system for taking action against a messaging virus transmitted along with electronic information distributed between a predetermined network and another network,
Determining whether or not the received electronic information is transmitted from the predetermined network when the computer system receives the electronic information accompanied by the messaging virus;
When the computer system determines that the received electronic information is transmitted from the predetermined network, the computer system transmits a message prepared in advance for the predetermined network, and the received electronic information is A message virus handling method, comprising: a step of transmitting a message prepared in advance for the other network when it is determined that the message is not transmitted from the predetermined network.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008129325A JP4515513B2 (en) | 2008-05-16 | 2008-05-16 | Messaging virus countermeasure program, etc. |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008129325A JP4515513B2 (en) | 2008-05-16 | 2008-05-16 | Messaging virus countermeasure program, etc. |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004571283A Division JPWO2004097653A1 (en) | 2003-04-25 | 2003-04-25 | Messaging virus countermeasure program, etc. |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008295042A JP2008295042A (en) | 2008-12-04 |
JP4515513B2 true JP4515513B2 (en) | 2010-08-04 |
Family
ID=40169263
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008129325A Expired - Lifetime JP4515513B2 (en) | 2008-05-16 | 2008-05-16 | Messaging virus countermeasure program, etc. |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4515513B2 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11110211A (en) * | 1997-09-30 | 1999-04-23 | Brother Ind Ltd | Computer system, computer virus opposition method and storage medium for recording computer virus opposition program |
JPH11134190A (en) * | 1997-10-31 | 1999-05-21 | Hitachi Ltd | System and method for detecting and reporting virus and storage medium stored with program regarding same method |
JP2001256045A (en) * | 2000-03-14 | 2001-09-21 | Nippon Telegraph & Telephone East Corp | Method and device for checking computer virus |
JP2002217981A (en) * | 2001-01-22 | 2002-08-02 | Daiwa Securities Group Inc | Device, program and method for watching electronic mail |
JP2003015899A (en) * | 2001-07-05 | 2003-01-17 | Hitachi Information Systems Ltd | Device and method for aiding dealing with detection of computer virus and its processing program |
-
2008
- 2008-05-16 JP JP2008129325A patent/JP4515513B2/en not_active Expired - Lifetime
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11110211A (en) * | 1997-09-30 | 1999-04-23 | Brother Ind Ltd | Computer system, computer virus opposition method and storage medium for recording computer virus opposition program |
JPH11134190A (en) * | 1997-10-31 | 1999-05-21 | Hitachi Ltd | System and method for detecting and reporting virus and storage medium stored with program regarding same method |
JP2001256045A (en) * | 2000-03-14 | 2001-09-21 | Nippon Telegraph & Telephone East Corp | Method and device for checking computer virus |
JP2002217981A (en) * | 2001-01-22 | 2002-08-02 | Daiwa Securities Group Inc | Device, program and method for watching electronic mail |
JP2003015899A (en) * | 2001-07-05 | 2003-01-17 | Hitachi Information Systems Ltd | Device and method for aiding dealing with detection of computer virus and its processing program |
Also Published As
Publication number | Publication date |
---|---|
JP2008295042A (en) | 2008-12-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10419478B2 (en) | Identifying malicious messages based on received message data of the sender | |
US7343624B1 (en) | Managing infectious messages as identified by an attachment | |
US10812528B2 (en) | Anti-phishing protection | |
EP2912596B1 (en) | Dynamic quarantining for malware detection | |
US9325724B2 (en) | Time zero classification of messages | |
US6757830B1 (en) | Detecting unwanted properties in received email messages | |
CA2848655C (en) | Providing a network-accessible malware analysis | |
US7865965B2 (en) | Optimization of distributed anti-virus scanning | |
US9813412B1 (en) | Scanning of password-protected e-mail attachment | |
KR20170083494A (en) | Technique for Detecting Malicious Electronic Messages | |
US9178907B2 (en) | System, method and computer program product for detecting encoded shellcode in network traffic | |
US20090217380A1 (en) | Messaging virus protection program and the like | |
JP2008289157A (en) | Messaging virus check program or the like | |
JP4515513B2 (en) | Messaging virus countermeasure program, etc. | |
US20200097655A1 (en) | Time zero classification of messages | |
JP2008278507A (en) | Messaging virus countermeasure program or the like | |
CN115022086B (en) | Network security defense method, device, electronic equipment and storage medium | |
JP2017156837A (en) | Management program, management method, and management device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100426 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100511 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100512 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4515513 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130521 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130521 Year of fee payment: 3 |
|
EXPY | Cancellation because of completion of term |